免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: Fl_wolf

【好书推荐】论https的使用与优化方式 [复制链接]

论坛徽章:
53
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2017-06-11 19:42 |显示全部楼层
1.大家是否已经都使用过HTTPS?为什么要使用它?
是的,在做项目的过程中确实已经使用过HTTPS,当然也有没有使用过的。使用HTTPS主要还是出于保护传输数据的安全,特别是一些重要的数据。
2.使用HTTPS的业务是否访问是否感觉变慢了,是否对业务有影响?
基本上和不使用HTTPS的速度基本一样,不是有慢的感觉,只要保证服务器硬件配置和软件环境配置恰当,就可以保证访问速度的流畅性。
3.大家是如何对HTTPS的机制进行优化的?如何提升HTTPS访问速度?
一般来说,使用集群技术,如果访问量特别大的话。如果只是普通的访问量,不使用集群也是可以的。

论坛徽章:
0
发表于 2017-06-13 16:40 |显示全部楼层
1.大家是否已经都使用过HTTPS?为什么要使用它?
   已使用, 为了网络数据安全.
2.使用HTTPS的业务是否访问是否感觉变慢了,是否对业务有影响?
   业务只需要长时间一个请求, 感觉不出是否变慢.
3.大家是如何对HTTPS的机制进行优化的?如何提升HTTPS访问速度?
    1)  采用无证书https方式  服务器端通过同一台私钥服务器获取加密密码
    2)  网络安全状况下 可以去掉证书的认证 例如 wget 的--no-check-certificate参数
    3)  针对不同的硬件和平台 替换更加高效快速对称加密算法
    4)  HTTP/1.1 支持一个连接发送多个HTTP请求,  通过一个连接发送多个请求的方式 可以节省很多建立连接协商加密的开销
    5)  其实很多时候并不需要HTTPS加密 例如 通过GET获取网站图片  文字这种只读性资源, POST这种提交数据的话可以使用HTTPS
         通过将一些只读性资源改成HTTP的方式  也可以提升访问速度

论坛徽章:
0
发表于 2017-06-15 18:24 |显示全部楼层
大家是否已经都使用过HTTPS?为什么要使用它?
为了网络访问安全,我们的堡垒机都是https的

论坛徽章:
7
2017金鸡报晓
日期:2017-01-10 15:13:2915-16赛季CBA联赛之天津
日期:2019-06-20 14:25:4015-16赛季CBA联赛之天津
日期:2019-08-20 23:06:5319周年集字徽章-庆
日期:2019-08-27 13:24:4219周年集字徽章-19
日期:2019-09-06 18:55:5019周年集字徽章-年
日期:2019-09-06 18:55:5019周年集字徽章-周
日期:2019-09-20 17:18:22
发表于 2017-06-18 17:48 |显示全部楼层
本帖最后由 aloki 于 2017-06-18 17:53 编辑

1.大家是否已经都使用过HTTPS?为什么要使用它?
       HTTP协议由于是明文传送,存在被窃听、被篡改、被冒充三大安全风险,所以才有了HTTPS的出现。
       很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS,其实不然。首先,非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;其次,即使你的网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;最后,一些流量很大的网站,如果不部署 HTTPS 很容易被别有用心的人利用,例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。
      一些 HTML5 API 可以用来获取用户地理位置、摄像头音视频等隐私数据。尽管网站在使用这些权限前需要获得用户授权,但由于 HTTP 很容易被劫持,通过 HTTP 传输这些隐私数据将会十分危险。HTTPS已经逐渐成为 WEB 服务的标配。
      最后纠正一个误区:并不是说部署了 HTTPS,安全方面就可以高枕无忧。HTTPS 解决的只是数据传输过程的安全性和保密性,如果 WEB 程序或者服务器有安全漏洞,或者用户电脑中病毒了,那安全性无从谈起。最后,要让 HTTPS 发挥最大作用,往往还需要结合其它技术一起使用,例如 HSTS、HPKP 等。

2.使用HTTPS的业务是否访问是否感觉变慢了,是否对业务有影响?
      HTTPS 增加了 TLS 握手环节,光是 TLS 握手就需要消耗两个 RTT(Round-Trip Time,往返时间),这就是造成 HTTPS 更慢的主要原因。再加上 HTTPS 应用数据传输需要经过对称加密,加解密相比 HTTP 也会带来额外的开销,不过对称加密本来就很快,加上硬件性能越来越好,所以这部分开销还好。HTTPS 确实给性能优化提出了更大的挑战,好在随着服务器、浏览器以及 SSL 库在性能上的大幅提升,经过良好优化后 HTTPS 带来的性能损耗完全可以接受。更重要的是,部署了 HTTPS 意味着可以使用 HTTP/2,HTTP/2 通过引入二进制分帧层,将 HTTP 的请求和响应报文拆分为二进制帧,从而实现了多路复用、优先级、Server Push 等诸多新特性,大大提升了 WEB 性能。HTTP/2 还引入了基于静态字典和动态字典的头部压缩算法 —— HPACK,有效减少了 HTTP 协议头部开销。

3.大家是如何对HTTPS的机制进行优化的?如何提升HTTPS访问速度?
1、TLS 握手优化
·启用 False Start :TLS False Start 是指客户端在发送 Change Cipher Spec Finished 同时发送应用数据(如 HTTP 请求),服务端在 TLS 握手完成时直接返回应用数据(如 HTTP 响应)。这样,应用数据的发送实际上并未等到握手全部完成。
·配置证书链(Certificate-Chain)的最佳实践是只包含站点证书和中间证书,不要包含根证书,也不要漏掉中间证书。大部分证书链都是「站点证书 - 中间证书 - 根证书」这样三级,这时服务端只需要发送前两个证书即可。
·如果需要进一步减小证书大小,可以选择 ECC(Elliptic Curve Cryptography,椭圆曲线密码学)证书。256 位的 ECC Key 等同于 3072 位的 RSA Key,在确保安全性的同时,体积大幅减小。
·启用会话复用(Session Resumption):会话复用的原理很简单,将第一次握手辛辛苦苦算出来的对称密钥存起来,后续请求中直接使用。这样可以节省证书传送等开销,也可以将 TLS 握手所需 RTT 减少到一个。
·启用OCSP 封套(OCSP Stapling):OCSP Stapling是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。服务端有更快的网络,获取 OCSP 响应更容易,也可以将 OCSP 响应缓存起来。
2、针对不同平台启用最合适的传输加密算法
使用 BoringSSL 优化 HTTPS 加密算法选择:BoringSSL 是 Google 从 OpenSSL 拉出来的一个独立发展的分支,目前跟 OpenSSL 相比已经有很多不同之处了。BoringSSL 支持了一种名为「等价加密算法组(Equal preference cipher groups)」的配置,可以使用Google 推出的名为 ChaCha20-Poly1305 的流式加密新算法。ChaCha20 除了更安全,还针对 ARM 做了优化,在移动设备上使用速度更快、更省电。
3、TCP优化,毕竟SSL数据也是基于TCP进行传输的
4、硬件配置优化,例如使用SSL加速器

论坛徽章:
104
狮子座
日期:2013-08-15 09:47:21处女座
日期:2013-10-09 10:04:27射手座
日期:2014-07-18 17:24:58处女座
日期:2014-07-24 09:29:49天秤座
日期:2014-07-24 09:30:06白羊座
日期:2014-07-24 15:26:28双子座
日期:2014-11-12 10:13:312015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之澳大利亚
日期:2015-05-11 09:56:392015年亚洲杯之巴勒斯坦
日期:2015-05-11 09:59:282015年亚洲杯之韩国
日期:2015-05-11 10:16:082015亚冠之水原三星
日期:2015-05-13 09:50:46
发表于 2017-06-27 16:46 |显示全部楼层
👌

论坛徽章:
137
2022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:5719周年集字徽章-庆
日期:2019-08-27 13:28:5615-16赛季CBA联赛之福建
日期:2019-09-10 11:43:2519周年集字徽章-周
日期:2019-12-12 10:54:07
发表于 2017-06-27 23:44 |显示全部楼层
3)搜索引擎把HTTPS作为了影响网站排名的因子之一。
比如Google就是这么做的,Google的Chrome浏览器54版本已经将HTTP的域名输入框前增加“!”的提示,所有的HTTP站点都会有这个标识。同样在2017年1月1日后开始,Chrome浏览器会在用户点击“!”的提示符后将该网站不安全的信息显示出来。
而百度搜索引擎认为权值相同的站点,采用HTTPS协议的页面更加安全,排名上会优先对待,且同一个域名的HTTP版和HTTPS版视为一个站点,并优先收录HTTPS页面。
4)业务涉及iOS就必须升级到HTTPS。
iOS10的ATS政策(App Transport Security)要求2017年1月1日后所有在iOS App Store上架的App都需要支持HTTPS,否则无法上架。



您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会 限时8.5折

【架构革新 高效可控】2020年8月17日~19日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP